MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Mengulas Poin Penting Mengenai 'Tanggung Jawab Pelaku Usaha' dalam Undang-Undang Perlindungan Data Pribadi Jepang yang Direvisi pada Tahun Reiwa 4 (2022)

General Corporate

Mengulas Poin Penting Mengenai 'Tanggung Jawab Pelaku Usaha' dalam Undang-Undang Perlindungan Data Pribadi Jepang yang Direvisi pada Tahun Reiwa 4 (2022)

Mulai April 2022 (Tahun 2022 Masehi), Undang-Undang Perlindungan Informasi Pribadi Jepang yang telah direvisi mulai diberlakukan. Undang-Undang Perlindungan Informasi Pribadi Jepang ini bertujuan untuk memastikan penanganan yang tepat terhadap informasi pribadi, sambil mempertimbangkan kegunaan informasi pribadi dan melindungi hak dan kepentingan individu. Lalu, apa saja perubahan yang terjadi dengan diberlakukannya revisi Undang-Undang Perlindungan Informasi Pribadi Jepang ini? Kali ini, kami akan menjelaskan tentang hak individu dan kewajiban pengusaha.

Revisi dan Latar Belakang Undang-Undang Perlindungan Informasi Pribadi Jepang

Undang-Undang Perlindungan Informasi Pribadi Jepang, yang disahkan pada tahun 2003 dan sepenuhnya diberlakukan pada tahun 2005, direvisi pada tahun 2015, setelah 10 tahun berlaku, dengan alasan “kemajuan teknologi informasi dan komunikasi telah memungkinkan penggunaan data pribadi yang tidak diperkirakan pada saat pembentukannya”. Revisi ini sepenuhnya diberlakukan pada tahun 2017.

Dalam revisi tahun 2017 ini, ada ketentuan “tinjauan setiap 3 tahun” yang menyatakan bahwa “setiap 3 tahun setelah diberlakukan, konten akan ditinjau kembali sesuai dengan realitas, dengan mempertimbangkan tren internasional, kemajuan teknologi informasi, dan situasi penciptaan dan perkembangan industri baru”.

Ketentuan terkait dalam lampiran Undang-Undang Revisi Perlindungan Informasi Pribadi Jepang 2017 (ringkasan)

Artikel 12 (Pertimbangan)

(Disingkat)

2 Pemerintah, dengan tujuan tiga tahun setelah pemberlakuan undang-undang ini, akan mempertimbangkan peningkatan dalam hal pembentukan dan promosi kebijakan dasar perlindungan informasi pribadi dan tugas lainnya yang berada di bawah yurisdiksi Komisi Perlindungan Informasi Pribadi, termasuk pembentukan struktur personil yang diperlukan untuk melaksanakannya secara efektif, pengamanan sumber daya keuangan, dan langkah-langkah lainnya, dan jika dianggap perlu, akan mengambil tindakan yang diperlukan berdasarkan hasil pertimbangan tersebut.

3 Selain hal-hal yang ditentukan dalam ayat sebelumnya, Pemerintah, dengan tujuan tiga tahun setelah pemberlakuan undang-undang ini, akan mempertimbangkan situasi pemberlakuan Undang-Undang Perlindungan Informasi Pribadi baru, dengan mempertimbangkan tren internasional dalam perlindungan informasi pribadi, kemajuan teknologi informasi dan komunikasi, dan situasi penciptaan dan perkembangan industri baru yang memanfaatkan informasi pribadi, dan jika dianggap perlu, akan mengambil tindakan yang diperlukan berdasarkan hasil pertimbangan tersebut.

4, 5 (Disingkat)

6 Pemerintah, dengan mempertimbangkan situasi pemberlakuan Undang-Undang Perlindungan Informasi Pribadi baru, situasi implementasi tindakan ayat pertama, dan situasi lainnya, akan mempertimbangkan bagaimana hukum perlindungan informasi pribadi harus ada, termasuk mengkonsolidasikan ketentuan tentang perlindungan informasi pribadi dan informasi pribadi yang dimiliki oleh lembaga administratif dan lainnya yang ditentukan dalam Pasal 2 Ayat 1 Undang-Undang Perlindungan Informasi Pribadi baru, dan menentukannya secara menyeluruh.

Revisi Undang-Undang Perlindungan Informasi Pribadi Jepang pada tahun Reiwa 4 (2022) adalah revisi hukum pertama berdasarkan “ketentuan tinjauan setiap 3 tahun” ini.

Artikel terkait: Apa itu Undang-Undang Perlindungan Informasi Pribadi dan Informasi Pribadi? Penjelasan oleh Pengacara[ja]

Ringkasan Undang-Undang Perlindungan Data Pribadi Jepang yang Direvisi pada Tahun Reiwa 4 (2022)

Revisi Undang-Undang Perlindungan Data Pribadi Jepang pada tahun 2022 mencakup enam poin berikut:

  1. Status hak individu
  2. Status kewajiban yang harus dilindungi oleh perusahaan
  3. Status mekanisme untuk mendorong upaya mandiri oleh perusahaan
  4. Status pemanfaatan data
  5. Status hukuman
  6. Status penerapan hukum di luar negeri dan transfer lintas batas

Artikel ini akan menjelaskan poin revisi 1 dan 2.

Artikel terkait: Penjelasan tentang ‘Hukuman’ dalam Undang-Undang Perlindungan Data Pribadi Jepang yang Direvisi pada Tahun Reiwa 4 (2022)[ja]

Status Hak Individu

Ada lima poin yang telah diubah mengenai status hak individu.

Peningkatan Hak Individu untuk Menghentikan Penggunaan dan Penghapusan (Pasal 30 dalam Hukum Jepang)

Dalam hukum yang berlaku saat ini, hak individu untuk menghentikan penggunaan dan penghapusan hanya terbatas pada kasus pelanggaran hukum seperti “penggunaan informasi pribadi di luar tujuan” atau “diperoleh dengan cara yang tidak sah”. Namun, dalam hukum yang telah diubah, jika “tidak ada kebutuhan bagi operator bisnis untuk menggunakan data pribadi yang dimiliki”, “jika ada kebocoran”, atau “jika ada risiko bahwa hak atau kepentingan sah individu akan dirugikan”, individu dapat meminta penghentian penggunaan, penghapusan, dan penghentian penyediaan kepada pihak ketiga.

Cara Pengungkapan Data Pribadi yang Dimiliki (Pasal 28 dalam Hukum Jepang)

Jika Anda adalah individu tersebut, Anda dapat meminta pengungkapan data pribadi yang dimiliki kepada operator bisnis yang menangani informasi pribadi. Setelah menerima permintaan tersebut, operator bisnis yang menangani informasi pribadi harus mengungkapkan data pribadi yang dimiliki sebagai prinsip. Dalam hukum yang berlaku saat ini, pengungkapan data pribadi yang dimiliki biasanya dilakukan secara tertulis. Namun, jika jumlah informasi sangat besar, ada situasi di mana penyerahan secara tertulis tidak sesuai, dan lebih jauh lagi, ada data seperti video dan audio yang tidak sesuai untuk penyerahan secara tertulis. Oleh karena itu, dalam hukum yang telah diubah, individu dapat meminta “pengungkapan dengan metode yang ditentukan oleh individu”, seperti penyediaan rekaman elektromagnetik. Operator bisnis yang menangani informasi pribadi harus mengungkapkan dengan metode yang diminta oleh individu.

Perusahaan yang menangani informasi pribadi harus segera membangun sistem untuk menangani permintaan pengungkapan data digital.

Permintaan Pengungkapan Rekaman Penyediaan Pihak Ketiga oleh Individu (Pasal 28 Ayat 5 dalam Hukum Jepang)

Operator bisnis yang menangani informasi pribadi harus membuat rekaman yang ditentukan oleh hukum saat menyediakan data pribadi kepada pihak ketiga, dan pihak yang menerima penyediaan dari pihak ketiga juga harus membuat rekaman yang ditentukan oleh hukum. Rekaman tentang penyediaan data pribadi kepada pihak ketiga dan rekaman konfirmasi saat menerima penyediaan data pribadi dari pihak ketiga disebut “rekaman penyediaan pihak ketiga”.

Dalam hukum yang berlaku saat ini, individu tidak dapat meminta pengungkapan rekaman penyediaan pihak ketiga yang dibuat oleh operator bisnis, tetapi dalam hukum yang telah diubah, individu dapat meminta pengungkapan rekaman penyediaan pihak ketiga, mempertimbangkan kemungkinan pelacakan oleh individu.

Termasuk Data Penyimpanan Jangka Pendek dalam Data Pribadi yang Dimiliki (Pasal 2 Ayat 7 dalam Hukum Jepang)

Dalam hukum yang berlaku saat ini, data pribadi yang dimiliki didefinisikan sebagai “data pribadi yang memiliki wewenang untuk melakukan pengungkapan, koreksi isi, penambahan atau penghapusan, penghentian penggunaan, penghapusan, dan penghentian penyediaan kepada pihak ketiga”, “yang merugikan kepentingan publik atau kepentingan lainnya dengan menjadi jelas apakah itu ada atau tidak” atau “yang akan dihapus dalam periode yang ditentukan oleh peraturan pemerintah dalam satu tahun”, kecuali “periode yang ditentukan oleh peraturan pemerintah dalam satu tahun” adalah enam bulan.

Namun, meskipun akan dihapus dalam waktu singkat, ada kemungkinan kebocoran dan lainnya selama periode hingga penghapusan, sehingga dalam hukum yang telah diubah, data penyimpanan jangka pendek yang akan dihapus dalam enam bulan juga termasuk dalam “data pribadi yang dimiliki”.

Pembatasan Ruang Lingkup Ketentuan Opt-Out (Pasal 23 Ayat 2 dalam Hukum Jepang)

Ketentuan opt-out adalah “sistem yang dapat menyediakan data pribadi kepada pihak ketiga tanpa persetujuan individu dengan prasyarat bahwa akan dihentikan jika ada permintaan dari individu, setelah mengumumkan item data pribadi yang disediakan, dll.”, tetapi dalam hukum yang berlaku saat ini, hanya informasi pribadi yang memerlukan pertimbangan khusus yang dikecualikan.

Dalam hukum yang telah diubah, ruang lingkup data pribadi yang dapat disediakan kepada pihak ketiga dibatasi, dan “data pribadi yang diperoleh secara tidak sah” dan “data pribadi yang disediakan oleh ketentuan opt-out” juga dikecualikan.

Tanggung Jawab yang Harus Dijaga oleh Pelaku Usaha

Ada dua poin yang telah diubah mengenai tanggung jawab yang harus dijaga oleh pelaku usaha.

Kewajiban Melaporkan Kebocoran (Pasal 22 Ayat 2)

Dalam hukum yang berlaku saat ini, laporan kebocoran bukanlah kewajiban hukum, sehingga ada beberapa pelaku usaha yang tidak proaktif dalam menanganinya. Jika pelaku usaha tidak mengumumkannya, ada kemungkinan Komisi Perlindungan Data Pribadi Jepang tidak dapat mengetahui kasus tersebut dan tidak dapat merespons dengan tepat. Dalam hukum yang telah direvisi, jika terjadi kebocoran dan ada kemungkinan besar merugikan hak dan kepentingan individu, pelaporan ke Komisi Perlindungan Data Pribadi Jepang dan pemberitahuan kepada individu tersebut menjadi kewajiban.

Kasus yang menjadi sasaran kewajiban melaporkan kebocoran ini mencakup “kebocoran informasi pribadi yang memerlukan pertimbangan”, “kebocoran akibat akses ilegal”, “kebocoran yang berpotensi merugikan secara finansial”, tanpa memandang jumlah kasus, dan “kebocoran skala besar” yang melibatkan lebih dari 1000 kasus.

Pelarangan Penggunaan Metode yang Tidak Pantas (Pasal 16 Ayat 2)

Dengan latar belakang peningkatan teknologi analisis data yang cepat, bentuk penggunaan informasi pribadi yang berpotensi melanggar hak dan kepentingan individu mulai terlihat, dan kekhawatiran konsumen meningkat. Menanggapi hal ini, dalam hukum yang telah direvisi, telah diputuskan untuk mengklarifikasi bahwa informasi pribadi tidak boleh digunakan dengan metode yang tidak pantas, seperti yang mendorong tindakan ilegal atau tidak adil.

“Metode yang tidak pantas seperti mendorong tindakan ilegal atau tidak adil” mencakup “memberikan informasi pribadi kepada pihak ketiga yang melakukan tindakan ilegal” dan “meskipun dapat dengan mudah diprediksi bahwa diskriminasi dapat dipicu oleh informasi pribadi yang dipublikasikan secara terpisah melalui pengumuman pengadilan, dll., mengumpulkan dan membuat basis data dari informasi tersebut dan mempublikasikannya di internet”, dan kasus-kasus yang cukup buruk lainnya diantisipasi.

Ringkasan

Dalam artikel ini, kami telah menjelaskan poin revisi 1 dan 2. Poin revisi 3, 4, 5, dan 6 akan dijelaskan dalam artikel lain.

Artikel terkait: Penjelasan tentang ‘Penalti’ dalam Undang-Undang Perlindungan Data Pribadi Jepang yang direvisi pada tahun Reiwa 4 (2022)[ja]

Panduan Strategi dari Kantor Kami

Kantor Hukum Monolis adalah kantor hukum yang memiliki keahlian tinggi dalam IT, khususnya internet dan hukum. Undang-Undang Perlindungan Data Pribadi yang baru saja direvisi sedang menjadi sorotan, dan kebutuhan untuk pengecekan hukum semakin meningkat. Kantor kami menyediakan solusi terkait hak kekayaan intelektual. Detail lebih lanjut dapat ditemukan dalam artikel di bawah ini.

https://monolith.law/practices/corporate[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke atas